Hallo!

Ich hab mir folgendes gedacht: Da UMTS am Lappi unverschlüsselt ist, will ich den Lappi mit einem VPN Client ausstatten und zu Hause einen VPN Server laufen lassen welcher mich dann wieder ins Internet routet.

also: LappiUMTS(VPNCLIENT) -funkstrecke- PROVIDER -kupferstrecke- HEIMserver(VPNSERVER) - kupferstrecke-inet......

Frage 1: Möglich?
Frage 2: Andere methode zum verschlüsseln der UMTS-Daten zum Provider?
Frage 3: Geeignete, kostenlose Clients (xp) und Server (linux) ?

Danke!!! :)

*push* :D

Falsches Forum?

Hallo!

Ich hab mir folgendes gedacht: Da UMTS am Lappi unverschlüsselt ist, will ich den Lappi mit einem VPN Client ausstatten und zu Hause einen VPN Server laufen lassen welcher mich dann wieder ins Internet routet.

also: LappiUMTS(VPNCLIENT) -funkstrecke- PROVIDER -kupferstrecke- HEIMserver(VPNSERVER) - kupferstrecke-inet......

Frage 1: Möglich?
Frage 2: Andere methode zum verschlüsseln der UMTS-Daten zum Provider?
Frage 3: Geeignete, kostenlose Clients (xp) und Server (linux) ?

Danke!!! :)

1: ja
2: fällt mir keine zu ein die das komplett erledigt (https, pop3s imaps, etc verschlüsseln ja nur das "eigene" protokoll)
3: pptp server unter linux ... mit 128-bit MPPE verschlüsselung ... kann windows von haus aus verstehen.

solltest du unter linux ein openVPN server einrichten, so müsstest du auf dem windows den openvpn client installieren (kostenlos). openvpn arbeitet mit zertifikaten zur authentifizierung und kann optional noch um eine benutzereingabe erweitert werden (username+password)

Jau, Danke!

Also, bisher wählt sich Debian per DSL-Over-Ethernet ein und routet das interne Netz nach draußen.

Hab das Howto gefunden:http://www.plogmann.net/w/2/21/

Zum Verständnis:

PPTP ist die Anwendung welche auf dem Linuxserver eingerichtet werden muss um eine Einwahl von aussen zu erlauben? Nach der Einwahl werden die Anfragen weiter an das DEFAULT-GW vom Router geleitet und somit erfolgt ein Zugriff auf das Internet? OPEN-VPN-Server Verschlüsselt das Ganze noch, oder erledigt das PPTP?


# /etc/ppp/options


[...]

# Aktiviert die 128-bit Verschlüsselung. Verbindungen lassen sich nur verschlüsselt aufbauen
mppe-128
mppe-stateless

es gibt verschiedene VPNs
PPTP (Point to Point Tunneling Protocol)
L2TP (Layer 2 Tunneling Protocol)
IPSec (Internet Protocol Security)

jedes dieser VPNs arbeitet anders ;)

pptp mit mppe verschlüsselung ist die eine möglichkeit
openvpn benutzt ipsec zur verschlüsselung und zur authentifizierung zertifikate.

pptp mit mppe ist am schnellsten eingerichtet und bietet eine gewisse grundsicherheit.
wenn du dort nur ausgewählte benutzer einstellst und diese komplizierte passwörter haben, sollte dort nichts passieren ;)

/etc/ppp/options


asyncmap 0
auth
crtscts
lock
hide-password
modem
netmask 255.255.255.0
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4
noipx


/etc/pptpd.conf


option /etc/ppp/pptpd-options
logwtmp
localip 172.30.30.1
remoteip 172.30.30.2-20


/etc/ppp/pptpd-options


name pptpd
ms-dns 192.168.1.1
proxyarp
nodefaultroute
lock
nobsdcomp
auth
nomppe-40
require-mppe-128
require-mschap-v2


/etc/ppp/chap-secrets

user1 servername password "*"
"*" steht für jede ip adresse .. zur einwahl aus dem internet erforderlich ;)

Wichtig: das habe ich mir damals alles in Webmin zusammen geklickt, ob das eine optimale einstellung ist kann ich dir nicht sagen.

ok, danke !

Wie kommt der PPTP-Client aus dem internet wieder ins das internet (der PPTP-Server ist schon ein Router)? Reicht ein GW in den Client-Ip einstelungen?

Bsp:

UMTS-Lappi mit PPTP-Einwahl 192.168.1.2
PPTP Server @ Home: server.dyndns.bla

GW auf dem Clie.bnt wäre denn jetzt ja: server.dyndns.bla.... (geht hier ein name?)

soweit bin ich noch nicht gegangen.
wenn ich mich in mein vpn zuhause einwähle komme ich nicht mehr ins internet. da müsste mal wer anderes was zu sagen :D

soweit bin ich noch nicht gegangen.
wenn ich mich in mein vpn zuhause einwähle komme ich nicht mehr ins internet. da müsste mal wer anderes was zu sagen :D
Squid wäre da eine schicke Lösung z.B. ....

Du meinst, im Browser den squid eintragen? Wäre ne Lösung .. Besser wäre es zu ermöglichen, dass die Inetanfragen von der VPN Gegenstelle (server) weitergeroutet werden .. oder?

...nur wie ist die frage :D Ich denke da an eine statische Route auf dem VPN-DSL-Router-Server

192.168.1.2 > ppp0

müsste doch gehen oder? Jetzt bleibt nur das Problem: Woher weiss der Client von dem Gateway? Muss ich hier bei XP manuell die Routing-Tabelle ändern oder ist die PPTP-VPN = *Route ?

zuhause läuft ein squid .. teste ich sofort mal :D

ich kann zwar auf den squid zugreifen, aber er meckert das ich kein zugriff habe :-(

zuhause habe ich ein 192.168.160.0/24 netz und über vpn hat der client die ip 172.30.30.2/32

server 172.30.30.1
client 172.30.30.2/32

wie die kommunikation klappt .. keine ahnung .. eigentlich dürften die beide sich gar nicht sehen, aber den server kann ich anpingen



1 http_port 8080
2
3 hierarchy_stoplist cgi-bin ?
4
5 icp_port 0
6
7 acl QUERY urlpath_regex cgi-bin \?
8
9 cache_mem 16 MB
10
11 acl apache rep_header Server ^Apache
12 broken_vary_encoding allow apache
13
14 access_log /var/log/squid/access.log squid
15 cache_log /var/log/squid/cache.log
16 cache_store_log /var/log/squid/store.log
17
18 hosts_file /etc/hosts
19
20 error_directory /usr/share/squid/errors/German
21
22 #anonymize_headers deny From Referer Server
23
24 refresh_pattern ^ftp: 1440 20% 10080
25 refresh_pattern ^gopher: 1440 0% 1440
26 refresh_pattern . 0 20% 4320
27
28 acl all src 0.0.0.0/0.0.0.0
29 acl manager proto cache_object
30 acl localhost src 127.0.0.1/32
31 acl mynet src 192.168.160.0/24
32 acl network dst 192.168.160.0/24
33 acl vpn src 172.30.30.0/24
34 acl vpn_net dst 172.30.30.0/24

OPTIONAL
33 acl vpn src 172.30.30.2/32
34 acl vpn_net dst 172.30.30.2/32

35 acl to_localhost dst 127.0.0.0/32
36
37 acl block_domains dstdom_regex -i "/etc/squid/blocked_domains"
38
39 acl SSL_ports port 443 # https.
40 acl SSL_ports port 563 # snews
41 acl SSL_ports port 873 # rsync
42 acl SSL_ports port 10000 # Webmin
43 acl SSL_ports port 20000 # Usermin
44 acl Safe_ports port 80 # http
45 acl Safe_ports port 21 # ftp
46 acl Safe_ports port 443 # https
47 acl Safe_ports port 70 # gopher
48 acl Safe_ports port 210 # wais
49 acl Safe_ports port 1025-65535 # unregistered ports
50 acl Safe_ports port 280 # http-mgmt
51 acl Safe_ports port 488 # gss-http
52 acl Safe_ports port 591 # filemaker
53 acl Safe_ports port 777 # multiling http
54 acl Safe_ports port 631 # cups
55 acl Safe_ports port 873 # rsync
56 acl Safe_ports port 901 # SWAT
57 acl Safe_ports port 143 # IMAP
58 acl Safe_ports port 25 # SMTP
59 acl OTHER_PORTS port 5190 # ICQ
60 acl OTHER_PORTS port 25000-25020 # Dateiueberztagung Miranda
61 acl OTHER_PORTS port 5050 # YAHOO
62 acl OTHER_PORTS port 1863 # MSN
63 acl OTHER_PORTS port 5222 # Jabber
64 acl OTHER_PORTS port 5223 # Jabber SSL
65 acl purge method PURGE
66 acl CONNECT method CONNECT
67 cache deny QUERY
68
69 http_access allow manager localhost
70 http_access deny manager
71 http_access allow purge localhost
72 http_access deny purge
73 http_access deny !Safe_ports
74 http_access deny CONNECT !SSL_ports !OTHER_PORTS
75 http_access allow localhost
76 http_access deny block_domains
77 http_access allow mynet network vpn vpn_net
78 http_access allow mynet !network vpn !vpn_net
79 http_access deny all
80
81 http_reply_access allow all
82 cache_mgr root@ralf-basche.home
83 cache_effective_user proxy
84 cache_effective_group proxy
85
86 redirect_program /usr/local/bin/squid-redirector.pl
87 redirect_children 5

Besser wäre es zu ermöglichen, dass die Inetanfragen von der VPN Gegenstelle (server) weitergeroutet werden .. oder?
Ist halt erheblich mehr Aufwand, da du ja auch die DNS-Auflösung über die VPN-Leitung machen musst. Ab da wird es dann interessant, das automatisch hinzukriegen, via openvpn geht das jedenfalls.

warum? Ich kann in der VPN einen DNS definieren.. 213.168.202.67 zb ^^ sollte doch gehen oder?


zu UzumakiNaruto: die kommunikation kann ja uch nicht gehen wenn der squid ein anderes subnetz hat. wie sieht es aus wenn der vpnserver und der vpnclient das gleiche subnetz haben?

Das versteh ich nicht ganz:

---
zuhause habe ich ein 192.168.160.0/24 netz und über vpn hat der client die ip 172.30.30.2/32

server 172.30.30.1
client 172.30.30.2/32
---
dein vpnserver hat die 172xxx und gleichzeitig 192xxx oder ??

die 32 hat das subnetz 255.255.255.255

warum? Ich kann in der VPN einen DNS definieren.. 213.168.202.67 zb ^^ sollte doch gehen oder?Nein, geht meines Wissens nicht, da dein Rechner grundsätzlich versucht über deine Default-Route ins Internet zu gelangen. Aber probier es aus ;)



zu UzumakiNaruto: die kommunikation kann ja uch nicht gehen wenn der squid ein anderes subnetz hat. wie sieht es aus wenn der vpnserver und der vpnclient das gleiche subnetz haben?

Der Squid horcht erstmal an allen Interfaces, von daher ist das schon ok so. Da stimmt nur was mit den acl's nicht, in den logs sollte mehr stehen.


dein vpnserver hat die 172xxx und gleichzeitig 192xxx oder ??
die 32 hat das subnetz 255.255.255.255
Die 172.x.x.x ist das virtuelle Interface, die 192.x.x.x die LAN-Schnittstelle. Mit dem Subnetz ist korrekt, aber daran gibt es ja auch erstmal nichts dran auszusetzen.

die acls von squid findest du weiter oben ;) .. ICH kann keinen fehler darin erkennen.

mich nervt es auch, das ich beim vpn eine */32 und keine */24 bekomme :-(

Funktioniert dein Proxy denn im lokalen Netz? Ein Blick in die Logs kann trotzdem nicht schaden.

die acls von squid findest du weiter oben ;) .. ICH kann keinen fehler darin erkennen.

mich nervt es auch, das ich beim vpn eine */32 und keine */24 bekomme :-(

Das ist normal so. imho muss das so sein, da Point to Point T Protokoll.. in wie weit die kommunikation davon betroffen ist steht bestimmt in der rfc *g*

laut http://support.microsoft.com/kb/254762/de ist die standard-dfü (vpn) das GW und darüber versucht er die anfragen aufzulösen(grad getestet). wenn er eine anfrage an den VPN-Server leitet, wäre das ja so, also wenn ein normaler LAN-Client eine anfrage sendet oder? dns ist ja erstma das andere übel, aber afaik aus modemzeiten, bekommt er in der dfü (vpn) einen DNS mitgeliefert über welcher er dann alles auflöst ?! (wozu gibt es den eintrag denn sonst? :confused:)

so 2 kannen kaffe später mach ich feierabend.. bis morgen *g*

mfg alex

dns ist ja erstma das andere übel, aber afaik aus modemzeiten, bekommt er in der dfü (vpn) einen DNS mitgeliefert über welcher er dann alles auflöst ?! (wozu gibt es den eintrag denn sonst? :confused:)

Das funktioniert ja auch, aber nur wenn du einen internen DNS-Server konfigurierst und dort übermittelst. Beim Aufbau findet ja offensichtlich ein redirect deiner default-route statt und du kommst somit lokal nicht ins Internet. Wenn du einen externen DNS übergibst, versucht er aber grundsätzlich über deine lokale Default-Route ins Netz zu kommen und da zeigt er dir dann den Mittelfinger. Beim openvpn Server gibt es die option "push redirect-gateway". Wenn man die auskommentiert, hast du auch lokal noch Zugang zum Internet. Weiß aber nicht, ob es eine ähnliche Funktion bei deiner pptp Verbindung gibt.

ja der squid arbeitet zuhause ohne probleme .. alle clients kommen ins internet ;)
die access.log von squid sagt einfach nur ... zugriff verweigert ;)
cache.log und store.log bringen mir da auch nichts ;)

ich wäre auch schon lange zu open vpn gewechselt, wenn ich dort keine zertifikate benötigen würde. den wenn ich bei jemanden bin und mich per vpn zuhause einwählen muss, brauche ich zum einen das programm und zum anderen noch das zertifikat, das warscheintlich dort nicht funktionieren wird, da das user zertifikat nicht stimmt ;)

Das funktioniert ja auch, aber nstatt und du kommst somit lokal nicht ins Internet. Wenn du einen externen DNS übergibst, versucht er aber grundsätzlich über deine lokale Default-Route ins Netz zu kommen und da zeigt er dirng gibt.


ma schauen.... Installiere grad pptp

bin grad vonner arbyte per vpn auf meinem linux - über diesen im inetrnet! (beweis: www.wieistmeineip.de einmal aufm domänenclient und einmal per VPN - je eine andere. und angezeigt einmal t-onlne und per vpn meine arcorverbindung)

leider noch ohne verschlüsselung.

geil!:ugly::ugly::ugly:

require-mppe-128
damit sollte eine 128 bit verschlüsselung mit dabei sein ;)

require-mppe-128
damit sollte eine 128 bit verschlüsselung mit dabei sein ;)

leider war windows xpsp2 zu blöd .. wollte er nicht. kann man das nachinstallieren?

mich nervt es auch, das ich beim vpn eine */32 und keine */24 bekomme :-(

Das ist nun mal so, immerhin ist es ein Point-2-Point Tunneling Protocol, was du nutzt. Da bekommt man nun mal kein Netz, sondern eine Punkt zu Punkt Verbindung. Du hast übrigens einfach nur ein Routingproblem. Ich habe irgendwann auch mal mit PPTP angefangen, dann OpenVPN genutzt und bin jetzt bei IPSec (OpenS/WAN) angekommen. Ich könnte über alle Verbindungen surfen. Alles eine Frage des Routings.

Das ist nun mal so, immerhin ist es ein Point-2-Point Tunneling Protocol, was du nutzt. Da bekommt man nun mal kein Netz, sondern eine Punkt zu Punkt Verbindung. Du hast übrigens einfach nur ein Routingproblem. Ich habe irgendwann auch mal mit PPTP angefangen, dann OpenVPN genutzt und bin jetzt bei IPSec (OpenS/WAN) angekommen. Ich könnte über alle Verbindungen surfen. Alles eine Frage des Routings.

also ich hab eine defaultroute zu meine ptp-verbindung und mein router (linux server mit dsl) rallt das.

geb mal eine defaultroute zum ppp0 interface auf dem server an ..

In der Regel hapert es daran, dass dein Linuxserver zwar weiß, wie er deinen VPN Client erreicht, aber dein DSL Router das nicht hinbekommt. In der Regel ist es mit einer simplen Netzroute auf dem DSL Router, mit dem Linuxserver als Gateway, getan.

nun kommt das beste:

die VPN baut auch eine ppp0 auf und ab. nun was macht ip_up & ip_down? ;) - löscht meine route welche ich für einen ciscorouter brauche. besteht die route zum ppp-dsl aufbau bereits, versucht er immer über diese route zu callen .. also muss die nach dem abbau auch wieder entfernt werden.

kann man hier zwischen DSL und VPN selektieren?

ggf mitn script auslesen?

ps: mein vpn client bekommt merkwürdigerweise die IP 192.168.1.1 und 192.168.0.1 (troz ppp-config localip und remoteip von 192.168.xx.xx 192.168.xx.yy)

aktuelle route mit DSL und Cisco ohne VPN:


Ziel Router Genmask Flags Metric Ref Use Iface
dslb-088-070-04 * 255.255.255.255 UH 0 0 0 ppp0
192.168.1.0 localhost 255.255.255.252 UG 0 0 0 eth0
localnet * 255.255.255.0 U 0 0 0 eth0
default * 0.0.0.0 U 0 0 0 ppp0

das ist mir bewusst .. aber ich habe keine lust bei jedem client der sich bei mir einwählen tut, die routen zu setzen.

Ist auch nicht nötig. Nie gewesen. Was aber viele vergessen: Der Kernel macht das Routing, kein Thema. Der VPN Client routet alles in Richtung VPN Server, der wirf es auf den Defaultrouter und der bringt den Verkehr ins Internet. Routing ist eigentlich total trivial. Hinweg haben wir - aber der Router kennt den Rückweg nicht! Das ist auch unter Windows nicht anders. Der Router muss das Netz / die IP des / der VPN Clients kennen. Also muss da eine Netzroute gesetzt werden. Ist der Linux Server gleichzeitig VPN Gateway und Internetrouter, kann man sich das sparen, weil er den Weg kennt.



ich kann nur von meinen windows erfahrungen sprechen .. dort funkte das alles ohne probleme .. routing und ras konfigurieren auf dem server konfigurieren, vpn software drauf (im ad festlegen das man sich einwählen kann) und alles funktionierte .. ich habe mich auf den einen server im firmennetz eingewählt und konnte dann alle server dort erreichen.

Sorry, aber da ist das nicht anders. Weder bei RRAS, noch beim ISA. Routing ist Routing. Da ist das OS egal.



das ich dafür pptp verlassen muss und zu was anderen hin ist mir bewusst. aber openvpn ist nicht mein ding wegen den zertifikaten und erkläre mal einem dau wie er das einbinden kann :D


PPTP ist für ganz einfache Sachen okay. Da ich aber keine einen VPN Client für alle Anwendungsfälle habe, und ich nicht einen einzigen PPTP Nutzer im Kundenkreis habe, bringt mir das nichts. Daher habe ich auf IPsec umgestellt.

das ist mir bewusst .. aber ich habe keine lust bei jedem client der sich bei mir einwählen tut, die routen zu setzen.

ich kann nur von meinen windows erfahrungen sprechen .. dort funkte das alles ohne probleme .. routing und ras konfigurieren auf dem server konfigurieren, vpn software drauf (im ad festlegen das man sich einwählen kann) und alles funktionierte .. ich habe mich auf den einen server im firmennetz eingewählt und konnte dann alle server dort erreichen.

unter linux würde ich das gerne ähnlich haben .. client wählt sich ein ... und die routen werden entsprechend gesetzt.
auch wäre es super, das dann mein netzwerk mit dem des anderen kommunizieren kann.

das ich dafür pptp verlassen muss und zu was anderen hin ist mir bewusst. aber openvpn ist nicht mein ding wegen den zertifikaten und erkläre mal einem dau wie er das einbinden kann :D



bei mir hat er das ohne probleme gefressen .. habe mich ja am freitag noch von einem xp eingewählt (hatte SP3) und früher hatte ich mich auch von meinem client zuhause testweise eingewählt (SP2).

ms-chap musst du auch verwenden .. das kann windows ;) .. steht ja alles in einen der ersten posts

ich hab noch den 2.6.8 kernel^^ update läuft... ... ...

Debian etch 4, Kernel 2.6.18-6-686
PoPToP version 1.3.0
PPPd version 2.4.4

und beide unterstützen dieses ... will der ppp nicht starten wenn du require-mschap-v2 in /etc/ppp/pptpd-options schreibst???

Debian etch 4, Kernel 2.6.18-6-686
PoPToP version 1.3.0
PPPd version 2.4.4

und beide unterstützen dieses ... will der ppp nicht starten wenn du require-mschap-v2 in /etc/ppp/pptpd-options schreibst???


ein neustart, distri-upgrade und kernel 18 verhalf. danke nochmal! jetzt geht es!




dank an euch!